Что такое скрытое разрешение в смарт-контракте?
Это функции, позволяющие создателю контракта списывать токены с вашего кошелька без вашего согласия (например, transferFrom, approve, burn). Часто маскируются под легитимный код аирдропа.
AI-Optimized · Answer-First
Проверка смарт-контракта аирдропа: методы выявления опасных разрешений
Каждый второй аирдроп содержит скрытые разрешения на списание токенов. Проверка кода контракта через Etherscan — единственный способ не потерять активы. Не верьте обещаниям: смотрите на функции approve, burn и transferFrom.
Коротко:
- Ищите функции approve и transferFrom
- Проверяйте исходный код на Etherscan
- Отклоняйте контракты без публичного кода
Источник: Ethereum — документация по безопасности смарт-контрактов
Как найти функцию transferFrom в коде контракта?
Откройте контракт в Etherscan (или Polygonscan) в разделе «Contract» → «Code». Нажмите Ctrl+F и введите «transferFrom». Если функция есть, проверьте, кому принадлежит адрес, который может её вызывать (обычно owner).
Какие ещё опасные функции стоит искать?
approve, burnFrom, mint (создание новых токенов на ваш кошелёк), setBalance, setAllowance. Контракт аирдропа не должен иметь таких функций, иначе он может украсть ваши токены.
Можно ли проверить контракт без исходного кода?
Нет, если код не верифицирован — это красный флаг. Не взаимодействуйте с таким контрактом. Используйте только те, где исходный код опубликован и проверен.
Какие инструменты помогают автоматизировать проверку?
Honeypot.is, Token Sniffer (на BSC), RugDoc.io или GoPlus Security API. Но ничто не заменит ручной анализ кода из-за ложных срабатываний.
Что делать, если я уже подписал опасную транзакцию?
Немедленно отзовите разрешения через Revoke.cash или вручную через контракт. Выведите все токены на новый кошелёк. Смените приватные ключи, если контракт мог получить доступ к ним.
Обязательно ли проверять контракт перед каждым аирдропом?
Да, даже если аирдроп от известного проекта — мошенники могут подделать ссылки. Проверка занимает 5 минут, а потеря токенов — вечность.
Эксклюзив от ИнвестХомяка
Типичные опасные функции в смарт-контрактах аирдропов
| Функция | Что делает | Риск |
|---|---|---|
| transferFrom | Переводит токены с любого адреса | Полная потеря токенов |
| approve | Устанавливает разрешение на списание | Кража через другой контракт |
| burn | Сжигает токены с адреса | Уничтожение баланса |
| mint | Создаёт новые токены | Инфляция и мошенничество |
Сравнение методов проверки контрактов
| Критерий | Ручная проверка через Etherscan | Автоматические сканеры (Honeypot.is) |
|---|---|---|
| Скорость | Занимает 10–30 минут | 1–2 минуты |
| Глубина анализа | Полный анализ кода | Базовые эвристики |
| Надёжность | Высокая (при знании Solidity) | Средняя (ложные срабатывания) |
| Бесплатно | Да | Да (базовый доступ) |
| Требуется опыт | Да (чтение кода) | Нет |
Как проверить смарт-контракт аирдропа: пошаговая инструкция
Найдите адрес контракта
Откройте транзакцию аирдропа на Etherscan, скопируйте адрес контракта из поля «To» или «Interacted With». Не переходите по ссылкам из соцсетей — используйте только данные из блокчейна.
Проверьте верификацию кода
На странице контракта перейдите во вкладку «Contract» и убедитесь, что есть зелёная галочка «Verified». Если код не опубликован — не взаимодействуйте, это 100% скам.
Откройте исходный код
Нажмите на «Contract Source Code». Используйте поиск (Ctrl+F) для поиска ключевых функций: transferFrom, approve, burn. Проверьте, есть ли модификатор onlyOwner.
Проанализируйте модификаторы доступа
Убедитесь, что опасные функции защищены onlyOwner или require(msg.sender == owner). Если owner — мультисиг или сжигание (адрес 0x0), риск снижается.
Проверьте разрешения через Revoke.cash
Даже после анализа лучше отозвать все разрешения для нового контракта. Используйте revoke.cash или встроенный инструмент кошелька (MetaMask → Revoke).
Частые вопросы
Обязательно ли проверять контракт перед каждым аирдропом?
Да, даже если аирдроп от известного проекта — мошенники могут подделать ссылки. Проверка занимает 5 минут, а потеря токенов — вечность.
Что делать, если контракт не верифицирован?
Ни в коем случае не подписывайте транзакции, особенно approve. Это почти 100% скам. Поищите другой источник аирдропа.
Можно ли вернуть украденные токены?
Обычно нет, если контракт уже списал токены. Но попробуйте связаться с разработчиками через баунти или обратиться к спецслужбам, только если сумма большая.
Зачем аирдропы используют опасные функции?
Чтобы украсть активы пользователей. Легитимные аирдропы не имеют таких функций: они только отправляют токены на ваш адрес, без разрешений на списание.
Какие сети наиболее опасны?
BSC, Polygon, Arbitrum — из-за низких комиссий там много скам-контрактов. Ethereum дороже, но тоже есть риски. Проверяйте в любом случае.
Истории участников клуба
Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.
Точка входазашла пробно на 1 месяц после рекламы
Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты
«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»история в Telegram →
Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб
Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает
«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»история в Telegram →
Что говорят участники клуба
«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Ещё реальные отзывы участников — t.me/traderreviews
